【SpringBoot实现用户登录拦截】

已于 2022-12-18 23:53:48 修改
阅读量803 收藏 2
点赞数
分类专栏: Glubin的Java笔记 文章标签: spring boot java spring
于 2022-12-18 23:51:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Glubin/article/details/127136127
版权

SpringBoot实现用户登录拦截功能

使用JWT实现登录拦截的实现方式如下:

  • 创建一个工具类,实现生成token(密匙)、token(密匙)认证功能
  • 创建一个过滤器,对请求进行过滤,满足要求的请求才放行

在实现之前需要对项目添加依赖:

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>

工具类的实现

工具类主要提供两个方法:

  1. 生成token(密匙):依托JWT提供的方法实现
  2. token认证:对传入的token进行验证(加密以及时效性),并验证用户信息是否正确

工具类代码如下:
1.生成token

	/**
     * 登录后生成token
     * JWT_EXPIRE_TIME 是需要配置的Token过期时间,根据自己系统需要进行设置
     * JWT_KEY 是需要配置的加密串(相当于密码),需自定义
     * @param userId 用户id
     * @param userName 用户姓名
     * @return 返回生成的token
     */
	public String createToken(String userId,String userName){
        Map<String,Object> header = new HashMap<>();
        header.put("typ","JWT");
        header.put("alg","HS256");
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());
        calendar.add(Calendar.MILLISECOND, JWT_EXPIRE_TIME);
        //setID:用户ID
        //setExpiration:token过期时间  当前时间+有效时间
        //setSubject:用户名
        //setIssuedAt:token创建时间
        //signWith:加密方式
        JwtBuilder builder = Jwts.builder().setHeader(header)
                .setId(userId)
                .setExpiration(calendar.getTime())
                .setSubject(userName)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256,JWT_KEY);
        return builder.compact();
    }

2.验证token,其中BaseUserDDTO、BaseContext、BaseContextHolder、baseUserDAO、BaseException都是作者编写的项目中的变量,主要是验证通过后将用户信息保存到上线文环境中,供通过验证后进入的实际方法中的代码使用。

	/**
     * 验证token是否有效
     * @param token  请求头中携带的token
     * @return  token验证结果 false认证失败
     */
    public boolean verify(String token) {
        Claims claims;
        try {
            //token过期后,会抛出ExpiredJwtException 异常,通过这个来判定token过期,
            claims = Jwts.parser().setSigningKey(JWT_KEY).parseClaimsJws(token).getBody();
        } catch (ExpiredJwtException e){
            throw new BaseException(ErrorInfoConst.SYS_AUTH_TOKEN_OVERTIME);
        }
        //从token中获取用户id,查询该Id的用户是否存在,存在则token验证通过
        String id = claims.getId();
        // 查询登录用户信息
        BaseUserDDTO baseUserDDTO = jwtUtils.baseUserDAO.selectById(id);
        if (baseUserDDTO == null || baseUserDDTO.getUserId() == null) {
            throw new BaseException(ErrorInfoConst.SYS_AUTH_TOKEN_NOCURUSER);
        }
        BaseContext baseContext = BaseContextHolder.getContext();
        // 将查询出的数据放入上下文环境
        BaseCurrentUser baseCurrentUser = new BaseCurrentUser();
        baseCurrentUser.setUserId(baseUserDDTO.getUserId());
        baseCurrentUser.setUserName(baseUserDDTO.getUserName());
        baseCurrentUser.setOrgId(baseUserDDTO.getOrgId());
        baseCurrentUser.setOrgName(baseUserDDTO.getOrgName());
        baseCurrentUser.setUserLevel(baseUserDDTO.getUserLevel());
        baseCurrentUser.setUserType(baseUserDDTO.getUserType());
        baseContext.setBaseCurrentUser(baseCurrentUser);
        BaseContextHolder.setContext(baseContext);
        return true;
    }

过滤器的实现

过滤器的实现需要编写一个类实现HandlerInterceptor并注册到Spring上。代码如下:

// 通过注解注册到Spring中
@Component
public class AuthVerifyInterceptor implements HandlerInterceptor {

    private static final Logger logger = LoggerFactory.getLogger(AuthVerifyInterceptor.class);
	// 上一步中定义的工具类
    JwtUtils jwtUtils = new JwtUtils();

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 这里实现校验
        // 跨域请求会首先发一个option请求,直接返回正常状态并通过拦截器
        if("OPTIONS".equals(request.getMethod())){
            response.setStatus(HttpServletResponse.SC_OK);
            return true;
        }
        response.setCharacterEncoding("utf-8");
        // 获取请求中携带的token
        if (request.getCookies() != null && request.getCookies()[0] != null) {
            Cookie[] cookies = request.getCookies();
            String token = null;
            for (Cookie item: cookies) {
                if ("TOKEN".equals(item.getName())) {
                    token = item.getValue();
                }
            }
            if (jwtUtils.verify(token)) {
                // 更新token
                BaseCurrentUser baseCurrentUser = BaseContextHolder.getContext().getBaseCurrentUser();
                token = jwtUtils.createToken(baseCurrentUser.getUserId(), baseCurrentUser.getUserName());
                if (result) {
                    Cookie cookie = new Cookie("TOKEN", token);
                    // 服务的地址,返回给前台保存Token使用的
                    cookie.setDomain("127.0.0.1");
                    cookie.setHttpOnly(false);
                    cookie.setPath("/");
                    response.addCookie(cookie);
                    return true;
                }
            }
        }
        return false;
    }
}

最后只需要在实现登录功能的代码中加上生成并返回Token的代码,就能实现登录拦截功能了。

设置白名单

有些时候有些地址不需要拦截,可以设置白名单,方式如下。
创建一个配置类,实现WebMvcConfigurer即可:

@Configuration
public class AuthVerifyConfiguration implements WebMvcConfigurer {

	// 刚刚实现的登录拦截类
    @Autowired
    protected AuthVerifyInterceptor authVerifyInterceptor;

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("*")
                .allowedMethods("*")
                .allowedOriginPatterns("*")
                .allowCredentials(true);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePath = new ArrayList<>();
        //排除拦截,除了注册登录(此时还没token),其他都拦截
        excludePath.add("/web/auth/**");  //登录和注册
        excludePath.add("/doc.html");     //swagger
        excludePath.add("/swagger-ui.html");     //swagger
        excludePath.add("/swagger-ui.html#");     //swagger
        excludePath.add("/swagger-ui.html#/**");     //swagger
        excludePath.add("/webjars/**");     //swagger
        excludePath.add("/web/codegenerator/*");
        excludePath.add("/swagger-resources/**");     //swagger
        excludePath.add("/v2/api-docs");     //swagger
        registry.addInterceptor(authVerifyInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns(excludePath);
        WebMvcConfigurer.super.addInterceptors(registry);
    }

}
Glubin
关注
专栏目录
SpringBoot】7、SpringBoot实现登录拦截
Asurplus
04-16 20万+
我们需要在项目中对未登录的用户进行拦截,使其登录后才能访问 1、创建 LoginInterceptor.java实现 HandlerInterceptor 接口 @Component public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(H...
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 701
基于Springboot通过Jwt实现登录拦截及验证
springboot登录拦截器
weixin_45539338的博客
05-15 6826
springboot配置登录拦截器
SpringBoot实现登录拦截器(实战版)
程序员闪充宝
06-30 1925
作者:Kant101https://blog.csdn.net/qq_27198345/article/details/111401610对于管理系统或其他需要用户登录的系统,登录验证都是...
Spring Boot中的过滤器与拦截器实战:实现用户认证与资源访问控制
最新发布
心猿意码
08-23 857
在构建Web应用时,我们经常需要实现诸如用户认证、资源访问控制等功能。Spring Boot 提供了多种工具来帮助开发者轻松实现这些需求。本文将介绍如何使用Spring Boot 3.x中的过滤器(Filter)和拦截器(Interceptor)来实现用户登录验证和对特定资源的访问控制。
SpringBoot登录拦截器
m0_61104769的博客
06-03 1225
上述拦截器可以用于实现用户登录认证功能。在Web应用程序中,有些功能需要用户登录后才能访问,例如用户个人中心、购物车、订单等功能。为了保护这些功能不被未登录用户访问,可以使用拦截器实现登录认证。拦截器可以拦截所有需要登录认证的请求,检查用户是否已经登录,如果未登录则重定向到登录页面,否则放行请求并允许用户访问受保护的功能。这样可以有效地保护用户数据安全,防止未经授权的访问。
SpringBoot实现登录拦截器
Lxl1418的博客
01-04 1922
对于管理系统或其他需要用户登录的系统,登录验证都是必不可少的环节,在SpringBoot开发的项目中,通过实现拦截器实现用户登录拦截并验证。
SpringBoot实现登录拦截功能
weixin_44431073的博客
06-11 2497
springboot 实现登录拦截功能,避免恶意登录
SpringBoot拦截器实现登录拦截的方法示例
08-25
SpringBoot框架中实现登录拦截功能是Web应用中常见的需求。拦截器(Interceptor)是Spring MVC中的一种拦截请求的方式,可以用来在请求到达控制器之前进行一系列操作。SpringBoot拦截器可以用来进行权限验证、解决...
SpringBoot 简单登录功能 拦截器实现.zip
05-15
SpringBoot 简单登录功能 拦截器实现。 在实际开发中,我们经常会遇到某些页面需要登录才能查看的情况。下面使用拦截器实现该功能,在用户没有登录的情况下,将网站的所有访问都指向登录页面。 Springboot 登录
springboot+springmvc实现登录拦截
08-25
Spring Boot + Spring MVC 实现登录拦截 概述: Spring Boot + Spring MVC 是一种流行的 Java 웹应用程序框架,它提供了许多有用的特性和工具来帮助开发者快速构建 Web 应用程序。登录拦截是 Web 应用程序中的一项...
SpringBoot实现登录拦截实现
艾利克斯冰的博客
05-15 1654
SpringBoot实现登录拦截的原理
SpringBoot登录拦截器
不愧是暮言的博客
02-15 1351
拦截器(Interceptor)类似于Servlet中的过滤器, 同Filter 过滤器一样,它俩都是面向切面编程——AOP 的具体实现(AOP切面编程只是一种编程思想而已),主要用于拦截客户请求并做出相应的处理。过滤器只能在容器初始化时被调用一次,在action的生命周期中,而拦截器可以多次被调用。过滤器可以对几乎所有的请求起作用,拦截器只能对action请求起作用。
Spring Boot登录拦截器
05-03 491
项目---springboot登录拦截器
grow_的博客
03-28 891
原因:若是记住首页地址,可以不输入用户名和密码直接输入url进入,不符合业务逻辑,不安全,所以设置拦截器拦截器效果:非登录用户,只能访问登录页面,其他页面都不可以访问 1. 登录的控制层中,若登录成功,将用户存入session package com.cc.springboot.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotati..
springboot实现登录拦截
03-11
你好,关于springboot实现登录拦截的问题,我可以回答。在springboot中,可以使用拦截器实现登录拦截。具体实现方式是,在拦截器中重写preHandle方法,在该方法中判断用户是否已经登录,如果已经登录则放行,否则跳转到登录页面。同时,在登录成功后,需要将用户信息存储到session中,以便后续的拦截器可以获取到用户信息。希望我的回答对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值